088-9951200
menu
088-9951320 Offerte aanvragen
Cyberbeveiliging

NIS2-richtlijn: wat betekent de nieuwe Europese cybersecuritywetgeving?

De NIS2-richtlijn heeft als doel om de digitale weerbaarheid van organisaties structureel te verbeteren. De richtlijn is bedoeld om de impact van cyberincidenten te verkleinen en de continuïteit van essentiële diensten beter te beschermen. Voor veel organisaties betekent NIS2 een flinke aanscherping van bestaande eisen op het gebied van informatiebeveiliging en risicomanagement. 

Wat is de NIS2-richtlijn? 

NIS2 staat voor Network and Information Security Directive 2. De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. Waar de eerste richtlijn zich vooral richtte op een beperkte groep vitale aanbieders, heeft NIS2 een veel bredere reikwijdte. Meer sectoren en meer organisaties vallen onder de nieuwe verplichtingen. 

Met de NIS2-wetgeving wil de Europese Unie de digitale weerbaarheid verhogen in een tijd waarin cyberdreigingen toenemen, ketens steeds complexer worden en digitale afhankelijkheid groeit. De richtlijn stelt daarom strengere eisen aan onder andere: 

  • risicobeheersing;
  • incidentafhandeling;
  • beveiliging van leveranciers;
  • verantwoordelijkheid van bestuurders. 

NIS2 is geen technische norm, maar een wettelijk kader. Organisaties moeten zelf aantonen dat zij passende maatregelen hebben getroffen om cyberrisico’s te beheersen. 

Voor wie geldt NIS2? 

NIS2 is van toepassing op organisaties die actief zijn in zogenoemde essentiële en belangrijke sectoren. Daarbij wordt niet alleen gekeken naar de sector, maar ook naar de omvang van de organisatie. 

In grote lijnen geldt de NIS2-wetgeving voor organisaties die: 

  • Actief zijn in aangewezen sectoren, zoals energie, zorg, transport, digitale dienstverlening, industrie en overheidsondersteunende diensten;
  • Minimaal 50 medewerkers hebben óf een jaaromzet van €10 miljoen of meer. 

Essentiële en belangrijke entiteiten 

De richtlijn maakt onderscheid tussen: 

  • Essentiële entiteiten, zoals energiebedrijven, zorginstellingen en digitale infrastructuur;
  • Belangrijke entiteiten, waaronder veel IT-dienstverleners, productiebedrijven en logistieke organisaties. 

Voor beide groepen gelden grotendeels dezelfde inhoudelijke verplichtingen, maar het toezicht en de handhaving verschillen. 

Veel organisaties realiseren zich nog niet dat zij onder NIS2 vallen. Zeker bedrijven die onderdeel zijn van een keten met vitale partijen, krijgen indirect ook te maken met strengere eisen. 

De vier belangrijkste NIS2-verplichtingen 

NIS2 verplicht organisaties om cybersecurity structureel en aantoonbaar te organiseren. Het gaat nadrukkelijk verder dan het treffen van losse technische maatregelen. 

Belangrijke verplichtingen van de NIS2-richtlijn zijn onder andere: 

1) Risicomanagement en beveiligingsmaatregelen 

Organisaties moeten risico’s voor hun netwerk- en informatiesystemen in kaart brengen en passende maatregelen treffen. Dit omvat onder meer: 

  • Beleid en procedures voor informatiebeveiliging;
  • Technische en organisatorische maatregelen;
  • Continu evalueren en verbeteren. 

2) Incidentmelding en -afhandeling 

Cyberincidenten met grote impact moet je binnen 24 uur melden bij de toezichthouder en het Nationaal Cyber Security Centrum (NCSC). Organisaties moeten daarom beschikken over: 

  • Duidelijke meldprocedures;
  • Een ingericht incidentresponsproces;
  • Interne verantwoordelijkheden en escalatielijnen.

3) Beveiliging van de keten 

NIS2 legt expliciet aandacht op risico’s in de toeleveringsketen. Dat betekent dat organisaties: 

  • Leveranciers en dienstverleners moeten beoordelen;
  • Afspraken over beveiliging moeten vastleggen;
  • Inzicht moeten hebben in afhankelijkheden binnen de keten. 

4) Bestuurlijke verantwoordelijkheid 

Het management en bestuur zijn onder NIS2 expliciet verantwoordelijk voor cybersecurity. Zij moeten: 

  • Toezicht houden op de maatregelen;
  • Voldoende kennis hebben van risico’s;
  • Kunnen worden aangesproken bij tekortkomingen. 

NIS2-wetgeving waarschijnlijk verplicht vanaf tweede kwartaal 2026 

De NIS2-richtlijn is in 2023 vastgesteld en wordt door EU-lidstaten vertaald naar nationale wetgeving. In Nederland gebeurt dit via de Cyberbeveiligingswet, waarschijnlijk in het tweede kwartaal van 2026. De wet wordt eerst nog behandeld door de Tweede en Eerste Kamer.  

Hoewel de exacte ingangsdatum van de NIS2-wetgeving dus nog niet vaststaat, is wel duidelijk dat organisaties nu al moeten starten met voorbereiden. Cyberweerbaarheid opbouwen, processen inrichten en beleid organiseren kost tijd — en wordt onder NIS2 actief getoetst. 

Team Information Security 088-9951320 Offerte aanvragen Contact

Bereid je voor op verplichting met onze NIS2 kick-off

Wil je in één dag overzicht, richting en een concreet plan voor NIS2 voor jouw organisatie? Via onze NIS2 kick-off helpen we je op weg. We starten de dag met een NIS2-training en in het tweede deel gaan we in op NIS2 in de praktijk.

Plan een NIS2 kick-off via Kader

Grote gevolgen wanneer je niet (op tijd) voldoet aan NIS2-richtlijn 

Wanneer je niet voldoet aan de NIS2-wetgeving vanaf het moment dat dit in Nederland verplicht is, loopt je organisatie verschillende risico's: 

  • Je kunt een flinke geldboete krijgen, tot wel 10 miljoen euro of 2% van je wereldwijde omzet.
  • Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij ernstige nalatigheid.
  • Toezichthouders kunnen verplichtingen stellen zoals audits en openbaarmaking van de overtreding.
  • Je loopt het risico op een datalek, bedrijfsonderbreking of financiële schade.
  • Je raakt het vertrouwen kwijt van klanten, partners, toezichthouders of andere belanghebbenden. 

Wat is de relatie tussen NIS2 en ISO 27001? 

NIS2 schrijft niet voor hoe organisaties hun beveiliging precies moeten inrichten. Normen zoals ISO 27001 en NEN 7510 (gericht op de zorgsector) bieden hiervoor een praktisch en internationaal erkend kader. 

ISO 27001 helpt organisaties bij: 

  • Het structureel inrichten van informatiebeveiliging;
  • Risicogebaseerd werken;
  • Het aantoonbaar voldoen aan wet- en regelgeving. 

Goed om te weten: ISO 27001 en NEN 7510 vormen voor veel organisaties een goede basis om aan de wettelijke eisen van NIS2 te voldoen. Maar het is niet altijd voldoende. Onze NIS2-experts kijken graag mee of er aanvullende maatregelen nodig zijn. 

Lees meer over ISO 27001

Zo helpen de Kader-experts bij NIS2-implementatie 

NIS2 vraagt om een duidelijke aanpak: beleid, techniek en processen moeten op elkaar aansluiten. Kader ondersteunt organisaties bij het inzichtelijk maken van hun NIS2-verplichtingen en het structureel verbeteren van hun cyberweerbaarheid. 

De NIS2-experts van Kader kunnen:  

  • Risicoanalyses en gap-analyses uitvoeren;
  • Ondersteunen bij het inrichten van managementsystemen;
  • Begeleiden richting ISO 27001 en/of NEN 7510;
  • Audits en onafhankelijke beoordelingen uitvoeren. 

Zo wordt de NIS2-wetgeving niet alleen een verplichting, maar een kans om de digitale weerbaarheid in jouw organisatie duurzaam te versterken.

Neem contact op

Download

NIS2-richtlijn in Nederland

De NIS2-richtlijn stelt strengere eisen aan de cyberbeveiliging van organisaties in vitale sectoren. Sinds 17 oktober 2024 is de richtlijn van kracht in de EU, binnenkort geldt de wet ook in Nederland. Veel organisaties zijn hier nog onvoldoende op voorbereid – met risico op verlies van klanten en omzet. Download de brochure en ontdek wat NIS2 voor jouw organisatie betekent.

  •  *
  •  *
    naam@bedrijf.nl
  •  *
Nieuw

Onze nieuwste artikelen

16/01/2026

Arbeidsinspectie controleert op machineveiligheid industriële bakkerijen: zo bereid je je goed voor

Lees verder
13/01/2026

De gevolgen van een stofexplosie: zo neem je de juiste veiligheidsmaatregelen

Lees verder
12/01/2026

Machineverordening vervangt in 2027 Machinerichtijn: wat gaat er veranderen?

Lees verder
Bekijk alle artikelen

Persoonlijk

Innovatief

Pragmatisch

Vakkundig